Tutkimuksen yleiset tietosuojakäytännöt
VTT käsittelee tutkimustoiminnassaan henkilötietoja aina EU:n yleisen tietosuoja-asetuksen (679/2016, ”TSA”), tietosuojalain (1050/2018) ja muun tapauskohtaisesti henkilötietojen käsittelyyn soveltuvan erityislainsäädännön mukaisesti. Tietosuojaperiaatteiden ja lainsäädännön mukainen luotettava toiminta on sisäänrakennettu osa tieteellistä tutkimustoimintaamme.
Mitä tietoja käsitellään?
Tutkimuksessa henkilötiedot voivat olla osa tutkimusaineistoa, mutta henkilötiedot voivat olla myös muutoin tarpeen tutkimuksen suorittamiseksi. Tutkimukseen eri tavoin osallistuvien henkilöiden (esim. tutkimusosallistujien, haastateltavien ja asiantuntijoiden) henkilötietoja voi olla tarpeellista käsitellä tutkimuksessa, vaikka henkilötiedot eivät olisi varsinaisesti tutkimuksen kohteena. Henkilötietojen sisältö ja kategoriat vaihtelevat paljon tutkimusaiheen mukaan.
Mistä tiedot kerätään?
Henkilötietoja kerätään suoraan rekisteröidyiltä ja muista lähteistä (esim. yhteystiedot haastattelukutsuja varten). Henkilötiedot voidaan kerätä vain tutkimusta varten, mutta tutkimuksessa käsitellään myös henkilötietoja, joiden ensisijainen käsittelytarkoitus on ollut alun perin jokin muu kuin tutkimus. Käsittely tieteellistä tutkimusta varten voi olla ns. asianmukaisia suojatoimenpiteitä noudatettaessa yhteensopivaa alkuperäisen käsittelyn kanssa, mikä sallii tällaisen toissijaisen käsittelyn. Sosiaali- ja terveystietojen toissijaisessa käytössä noudatetaan lakia sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019).
Kuka vastaa rekisterinpitäjänä tutkimuksen henkilötietojen käsittelystä?
Tutkimuksen henkilötietojen käsittelyssä VTT:llä on vaihtelevia rooleja. Rooli täsmentyy käsittelytarkoituksittain, ja voi vaihdella jopa tutkimushankkeen eri tehtävissä ja tutkimusosioissa.
VTT voi olla tutkimuksessaan rekisterinpitäjä tai yhteisrekisterinpitäjä. Tämä koskee erityisesti VTT:n itse rahoittamaa ja julkisrahoitteista tutkimusta. Tähän kuuluvat tyypillisesti julkisia tutkimustuloksia tuottavat Business Finland –yhteishankkeet, Euroopan komission rahoittamat tutkimushankkeet (H2020, HEU) ja muut vastaavat tutkimushankkeet, joissa VTT on rahoituksensaajana. VTT:n kanssa yhteisrekisterinpitäjinä voivat olla mm. tutkimuksen yhteistyökumppanit ja saman tutkimuksen konsortio-osapuolet, joiden kanssa VTT on yhdessä suunnitellut tutkimuksen ja sitoutunut sen suorittamiseen, ja siten määrittänyt yhdessä henkilötietojen käsittelyn tarkoituksenkin. Tutkimusta ja sen osapuolia esitellään hankkeen verkkosivuilla ja tutkimustiedotteissa.
Toisinaan VTT on tutkimuksessa henkilötietojen käsittelijä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun ja ohjeiden mukaisesti. Tällainen tilanne on tyypillinen erityisesti VTT:n asiakastutkimuksessa, jossa asiakas on usein rekisterinpitäjä. Rekisterinpitäjä on lähtökohtaisesti ensisijaisesti yhteydessä rekisteröityjen suuntaan ja vastaa tällöin myös rekisteröityjen oikeuksien toteuttamista koskeviin pyyntöihin. Tällaisessa tilanteessa tiedot henkilötietojen käsittelystä ja rekisteröityjen oikeuksien toteuttamisesta löytyvät esim. asiakkaan verkkosivuilta tai asiakkaan muutoin rekisteröityjen saataville saattamasta tiedosta. VTT:n sivuilta löytyvää tietosuojailmoitusta ei sovelleta muiden kuin VTT:n rekisterinpitäjyyteen kuuluvissa käsittelytarkoituksissa.
Miten henkilötietojen käsittelystä informoidaan?
Mikäli henkilötiedot kerätään rekisteröidyltä itseltään, käsittelystä informoidaan jo keräämiseen yhteydessä. Mikäli tiedot ovat peräisin muualta kuin rekisteröidyltä, informointi tehdään viimeistään käsittelyn aloittamisen yhteydessä. Informointivelvoitteesta voidaan kuitenkin poiketa, mikäli informointi ei ole mahdollista tai vaatisi kohtuutonta vaivaa esimerkiksi yhteys- ja tunnistetietojen puuttumisen vuoksi. Tällöin henkilötietojen käsittelystä informoidaan julkaisemalla tutkimuskohtainen tietosuojailmoitus verkkosivuilla tai noudattamalla VTT:n tutkimustoiminnan yleistä tietosuojailmoitusta.
Tutkimustoiminnan yleistä tietosuojailmoitusta ei käytetä, kun käsitellään erityisiä henkilötietoryhmiä (TSA 9 artikla) tai rikostuomioita tai rikkomuksia koskevia tietoja (TSA 10 artikla). VTT:n käsitellessä näitä tutkimuksessaan laaditaan erillinen tietosuojailmoitus.
Millä perusteella VTT käsittelee henkilötietoja?
Rekisterinpitäjänä VTT käsittelee henkilötietoja tyypillisesti seuraavin oikeusperustein: yleistä etua koskeva tehtävä, tieteellinen tutkimus (TSA artikla 6 e) ja tietosuojalain 4 §), rekisteröidyn suostumus (TSA artikla 6 a) ja rekisterinpitäjän oikeutettu etu (TSA artikla 6 f). VTT:n rekisteröidyille tarjoamien sopimusperusteisten palveluiden ja muiden sopimuksen yhteydessä tehtävien käsittelytehtävien yhteydessä oikeusperuste voi olla sopimus (TSA artikla 6 b).
On hyvä huomata, että VTT on voinut pyytää suostumuksen tutkittavalta myös muista syistä kuin henkilötietojen käsittelyä varten ja tällöinkin henkilötietojen käsittely voi perustua muuhunkin oikeusperusteeseen kuin suostumukseen. Osallistumissuostumus voidaan pyytää esimerkiksi tutkimuseettisistä syistä.
Mikäli joku muu taho kuin VTT on rekisterinpitäjä (esim. VTT:n asiakas), sovelletaan rekisterinpitäjän määrittämää ja ilmoittamaa oikeusperustetta.
Mitä oikeuksia rekisteröidyllä on?
Rekisteröidyn oikeudet riippuvat käsittelyn oikeusperusteesta. Tutkimuksessa rekisteröityjen oikeuksia on mahdollista perustellusta syystä rajoittaa, mutta tämä on poikkeuksellista. Mikäli rekisteröityä ei ole mahdollista tunnistaa (esim. pseudonyymit tiedot), rekisteröityjen tiettyjä oikeuksia ei sovelleta (TSA artikla 11), ellei rekisteröity toimita lisätietoja tunnistamista varten. Rajoitusten ja oikeuksien soveltuminen tarkistetaan aina tapauskohtaisesti.
Soveltuvat oikeudet voit tarkistaa täältä: https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa
Keneen voin olla yhteydessä?
Lähtökohtaisesti projektin yhteyshenkilö VTT:llä on oikea taho vastaamaan tietosuojaa ja rekisteröidyn oikeuksien toteuttamista koskeviin kysymyksiin. Aina voit kuitenkin olla yhteydessä myös VTT:n tietosuoja-asiantuntijoihin (tietosuojavastaava ja tietoturvapäällikkö sijaisineen): [email protected]